Non-respect du droit d’accès aux données personnelles : action administrative, civile ou pénale ?

Cette décision rappelle certaines composantes importantes du droit d’accès consacré par la LPD, dont la version actuelle est entrée en vigueur le 1^er septembre 2023, à savoir :

• Le responsable de traitement (ici la banque) doit fournir à toute personne physique qui le requière des renseignements sur les données personnelles qu’il traite, et ce dans un délai de trente jours (art. 25 LPD et 18, al. 1 OLPD) ;
• Ce délai peut être prolongé (art. 18, al. 2 OLPD) ; toutefois, la prolongation doit être motivée et communiquée au requérant dans le délai initial de trente jours. La LPD ne fixe aucun délai maximal pour une telle prolongation, contrairement au RGPD qui prévoit une prolongation de 2 mois maximum en cas de demande complexe ;
• Les renseignements à fournir comprennent notamment les données « en tant que telles» qui sont traitées par le responsable de traitement ; une réponse générique, comprenant uniquement la liste théorique des données traitées, de type « [N]ous traitons toutes les catégories de données qui se rapportent à une personne physique identifiée ou identifiable. Cela inclut les informations personnelles (nom, prénom, date de naissance, adresse, coordonnées (téléphone, e‑mail, etc.), les données particulièrement sensibles (par ex. l’orientation sexuelle pouvant découler de l’état civil), toutes sortes de données financières (certificats de salaire, avis d’imposition, etc.), les informations de crédit (ZEK/IKO, Kremo, etc.) ainsi que les données pouvant résulter d’un profilage, par exemple lors de la visite de nos sites web pour améliorer la satisfaction client ou à des fins marketing »[1], n’est pas acceptable car elle ne permet pas au requérant d’exercer, le cas échéant, ses autres droits tels que le droit à la rectification de données erronées ou obsolètes.

C’est le lieu de rappeler que trois voies distinctes s’offrent à celui qui estime que son droit d’accès n’est pas respecté :

• La voie administrative, qui fait l’objet de la décision en question : chacun peut faire parvenir au Préposé une dénonciation s’il estime que ses droits sont violés. Le Préposé ne se saisit toutefois, en pratique, que des cas revêtant une certaine importance (art. 49, al. 2 LPD a contrario). La loi permet en effet au Préposé de renoncer à ouvrir une enquête si, selon les circonstances du cas d’espèce, il estime que les données personnelles concernées ne sont pas sensibles et que le risque de réitération est faibles[2]. Le Préposé peut également renoncer à investiguer s’il estime que la fourniture de conseils au responsable du traitement des données concerné suffit à remédier à une situation en soi peu problématique[3]. A l’issue de son enquête, le Préposé peut, comme en l’espèce, notamment ordonner au responsable du traitement de fournir au requérant les renseignements auxquels il a droit (art. 51, al. 3 LPD) ; il n’a cependant pas la compétence d’ordonner le respect du délai de trente jours précité, ni de prononcer des amendes. Cela dit, l’insoumission à une décision rendue par le Préposé est susceptible d’une amende d’un montant de CHF 250’000 (art. 63 LPD). Les décisions du Préposé peuvent faire l’objet d’un recours auprès du Tribunal administratif fédéral (art. 52 al. 1 LPD cum 2 al. 4 et 47 al. 1 let. b PA), dans un délai de trente jours (art. 52 al. 1 LPD cum art. 50 al. 1 PA).
• La voie civile, qui permet à toute personne dont l’accès (partiel ou total) à ses données personnelles est refusé, d’introduire une action en exécution du droit d’accès[4]. Cette voie permet également au demandeur de déposer une action en protection de la personnalité au sens des art. 28 ss CC, auxquels l’art. 32 al. 2 LPD renvoie, et de réclamer dans ce cadre l’interdiction d’un traitement déterminé de données personnelles, l’interdiction d’une communication déterminée de données personnelles à des tiers, l’effacement ou la destruction de données personnelles ainsi des dommages et intérêts qui découlent d’une atteinte. À ce type d’actions s’en ajoutent deux autres, qui ne requièrent pas de démontrer une atteinte illicite à la personnalité, soit (i) l’action en rectification de données inexactes (art. 32 al. 1 LPD) et (ii) l’action en mention du caractère litigieux d’une donnée (art. 32 al. 3 LPD)[5].
• La voie pénale, enfin, qui sanctionne la fourniture intentionnelle de renseignements inexacts ou incomplets (art. 60 LPD). Déclarer qu’aucune donnée n’est traitée alors que ce n’est pas le cas tombe également sous le coup de cette disposition[6]. Par contre, l’inaction, le refus pur et simple[7] et le retard dans la fourniture de renseignements[8] ne sont pas réprimés pénalement en droit suisse.

Références

[1] Décision, par.10 (traduction française libre ; allemand original).

[2] Message du Conseil fédéral LPD, FF 2017 6706 ; CR LPD-Raedler, art. 49 N 51 et 52.

[3] Message du Conseil fédéral LPD, FF 2017 6706 ; CR LPD-Raedler, art. 49 N 51 et 52.

[4] PC LPD-Béguin, Art. 25 N 71.

[5] PC LPD-Genecand, Art. 32 N 1.

[6] Message du Conseil fédéral LPD, FF 2017 6716 ; Statthalteramt Bezirk Zurich, Décision ST.2024.1046 du 4 mars 2025, disponible en ligne sur https://datenrecht.ch/wp-content/uploads/20250304-statthalteramt-bezirk-zuerich-strafbefehl-dsg.pdf ; Tistounet/Fischer, Répondre à moitié, risquer le tout : responsabilité pénale et droit d’accès selon la LPD, 15 juillet 2025, disponible en ligne sur  https://swissprivacy.law/366/.

[7] Message du Conseil fédéral LPD, FF 2017 6716 ; Husi-Stämpfli /Morand /Sury/Di Tria/Dias Matos, Protection des données, Genève – Zurich – Bâle 2024, p. 259 ; Simmler, in: Bieri/Powell (éd.), DSGKommentar, Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, Zürich 2023, Art. 60 Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten N 10.

[8] Simmler, in: Bieri/Powell (éd.), DSG Kommentar, Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, Zürich 2023, Art. 60 Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten N 10.